|
Server Security Guide |
|
|
Idle time 설정 - 설정되있음
로그인 실패 횟수 제한 ( 계정 잠금 카운터 ) - 설정안되어있음
계정 잠금기간 (5분) / 계정잠금 임계값 5회 / 계정잠금 카운터 재설정 5분
공유폴더 확인 ( ex. 프린터 공유 - 예시. \\ IP address \print$
1. Windows Server
1.1 Windows Update
|
Control Panel\All Control Panel\Windows Update Check for updates > Install |
* 비즈니스에 방해가 되는 경우를 제외한 최신 보안 패치는 즉시 설치되어야 함
1.2 Shared Folder
1.2.1 시스템 기본 공유폴더 제거
* IPS$는 서비스에 영향을 미칠 수 있으므로 삭제 전 검토가 필요함
방법 1. 컴퓨터 관리 설정 변경
|
Computer Management\System Tolls\Shared Folders\Shares C$ / D$ / ADMIN$ Stop Sharing |
* 서버 또는 서비스 재시작 시 재설정 필요함
방법2. Command 실행
|
cmd.exe > net share > netshare 공유 이름 /delete |
>위 설정후에는 재부팅후에 설정이 원복됨 ( 레지스트리를 수정해줘야 원복되지 않음 )
방법3. 레지스트리 수정
*방법 1, 2은 서버 또는 서비스 재시작시 공유폴더가 활성화되어 재시작이 필요하나
레지스트리를 수정하면 시스템 재부팅 후 디폴트 폴더가 자동 공유되는 것 방지 가능함.
그러나 레지스트리 수정 방법은 IPC$를 포함한 모든 기본 공유 폴더 비활성화하므로
주의가 필요함
|
regedit.exe > HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanmanServer\Parameter Value name : AutoShareServer DataType : REG_DWORD Value : 0 (Zero) |
1.2.2 공유폴더 Everyone 권한 제한
|
Computer Management\System Tolls\Shared Folders\Shares 공유된 폴더의 Everyone 권한 Read Only 또는 Deny All |
1.3 Remote Desktop
1.3.1 Drive redirection 비활성화
* 터미널 서버에서 로컬 드라이브 액세스 제한
방법 1. 레지스트리 수정
|
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Serivice Value name : fDisableCdm DataType : REG_DWORD Value : 1 |
방법 2. 컴퓨터 구성 수정
|
gpedit.msc > Computer Configuration\Policies\Administrative Templates\Windows Components\Remote Desktop Services\Remote Desktop Session Host\Device and Resource Redirection\Do not allow drive redirection Enabled: All drives |
1.3.2 원격 접속 권한 제한 설정
방법 1. 컴퓨터 관리 수정
|
Computer Management\Local Users and Groups\Users 일반 User계정: Deny the user permissions to log on to Remote Desktop Session Host server |
방법 2. 컴퓨터 구성 수정
|
gpedit.msc > Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\User Rights Assignment\Allow log on through Remote Desktop Services Administrators / (Remote Desktop Users) |
1.3.3 Idle time 설정
방법 1. 레지스트리 수정
|
regedit.exe > HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services Value name : MaxIdleTime DataType : REG_DWORD Value : 900000 (Dec) |
방법 2. 컴퓨터 구성 수정
|
gpedit.msc Computer Configuration\Policies\Administrative Templates\Windows Components\Remote Desktop Services\Remote Desktop Session Host\Session Time Limits\Set time limit for active but idle Remote Desktop Services sessions 15 minutes |
1.3.4 Plug & Play redirection리다이렉션 제한
* Plug & Play : 장치 자동 인식 기능
방법 1. 레지스트리 수정
|
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services Value Name: fDisablePNPRedir |
방법 2. 컴퓨터 구성 수정
|
gpedit.msc > Computer Configuration\Administrative Templates\Windows Components\Remote Desktop Services\Remote Desktop Session Host\Device and Resource Redirection\Do not allow supported Plug and Play device redirection Enabled |
1.4 Drive
1.4.1 Autorun 비활성화
* Autorun : autorun.inf라는 파일을 자동으로 읽어, 특정 프로그램을 자동으로 실행하는 기능
방법 1. 레지스트리 수정
regedit.exe >HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer
Value name : NoAutorun DataType : REG_DWORD Value : 1 |
방법 2. 컴퓨터 구성 수정
|
Computer Configuration\Administrative Templates\Windows Components\AutoPlay Policies\Set the default behavior for AutoRun Enabled: Do not execute any autorun commands |
1.4.2 Autoplay 비활성화
* Autoplay : 드라이브의 미디어를 읽어들여 자동으로 재생하는 기능
방법 1. 레지스트리 수정
regedit.exe >HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer
Value name : NoDriveTypeAutoRun DataType : REG_DWORD Value : FF |
방법 2. 컴퓨터 구성 수정
|
gpedit.msc > Computer Configuration\Administrative Templates\Windows Components\AutoPlay Policies\Turn off Autoplay Enabled: All drives |
1.5. Etc.
1.5.1 네트워크로부터의 접근 권한 제어
* 네트워크의 다른 사용자가 SMB / NetBIOS / CIFS / COM+ 등의 프로토콜에 접근할 수 있는 권한
설정
|
Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\User Rights Assignment\Access this computer from the network Administrators / Authenticated Users / (ENTERPRISE DOMAIN CONTROLLERS) |
1.5.2 불필요한 서비스 비활성화
* 서버의 기능에 따라 서비스 사용 여부 확실히 판단 후 disable
|
Control Panel\All Control Panel Items\Administrative Tools\Services 불필요한 Service 속성 > Startup type: disable |
* 참고 : 오픈 포트 확인
|
CMD Netstat -nao |
* 대표적인 불필요한 서비스 ( 아래 서비스 사용 여부 확인 후 disable / 굵은 글씨 : 특히 주의 )
|
- File and printer sharing services (NetBIOS / NFS / FTP) - Wireless networking services - Remote control and remote access programs, particularly those that do not strongly encrypt their -communications (Telnet) - Directory services (LDAP, NIS) - Web servers and services - Email services (SMTP) - Language compilers and libraries - System development tools - System and network management tools and utilities (SNMP) |
2. 참고 문서
- CIS Microsoft Windows Server 2012 R2 Benchmark (v2.2.1)
- NIST Guide to General Server Security (Special Publication 800-123)
- SANS Server Security Policy (2016)
'Security > Server' 카테고리의 다른 글
| [ Windows ] Powershell 명령어 (0) | 2017.07.05 |
|---|---|
| [ Windows ] Powershell memory monitoring (0) | 2017.07.04 |
| [ Virus ] 바이러스 백신 표준 순위확인하기 (0) | 2017.06.29 |
| [Server-Windows] ERROR 원인 : Set-ExecutionPolicy : Windows PowerShell updated your execution policy successfully, but the setting is overridden by a policy defined at a more specific scope. (0) | 2017.02.21 |
| [서버] 메일서버 MX 레코드 / Relay 대해 (미완성) (0) | 2016.03.08 |